一种异常IP确定方法、装置、电子设备及存储介质与流程

一种异常ip确定方法、装置、电子设备及存储介质
技术领域
1.本技术涉及计算机技术领域，尤其涉及一种异常ip确定方法、装置、电子设备及存储介质。


背景技术：

2.目前，一般依赖于硬件网络防火墙或网站应用级入侵防御系统(web application firewall，waf)防火墙实现确定异常ip地址的过程，从而阻断该异常ip地址的访问。
3.但是，上述方法中，硬件网络防火墙或waf防火墙价格昂贵，灵活性较低，可能不能方便、快捷地确定出异常ip地址。


技术实现要素：

4.本技术提供一种异常ip确定方法、装置、电子设备及存储介质，解决了相关技术中硬件网络防火墙或waf防火墙价格昂贵，灵活性较低，可能不能方便、快捷地确定出异常ip地址的技术问题。
5.第一方面，本技术提供一种异常ip确定方法，包括：获取多个日志信息，其中，一个日志信息中包括一个ip地址；基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分，该多个ip地址为该多个日志信息中包括的ip地址；基于该每个ip地址在该每个访问规则中的规则得分，确定该每个ip地址对应的访问得分；将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。
6.可选地，上述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项，该关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，该时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，该业务类型访问规则中包括的访问条件用于确定一个日志信息对应的业务类型的数量，该请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，该域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，该响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，该数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。
7.可选地，上述至少一个访问规则中包括该数据大小访问规则，上述基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分具体包括：当第一日志信息对应的数据大小大于第一数据大小阈值，并且该第一日志信息信息对应的数据大小小于或等于第二数据大小阈值时，确定第一ip地址在该数据大小访问规则中的规则得分为第一数值，该第一日志信息为该多个日志信息中的一个，该第一ip地址为该第一日志信息中包括的ip地址，该第一数据大小
阈值小于该第二数据大小阈值；当该第一日志信息对应的数据大小大于该第二数值阈值时，确定该第一ip地址在该数据大小访问规则中的规则得分为第二数值，该第二数值大于该第一数值。
8.可选地，上述基于该每个ip地址在该每个访问规则中的规则得分，确定该每个ip地址对应的访问得分具体包括：为该每个访问规则分配权重参数；基于该每个ip地址在该每个访问规则中的规则得分以及该每个访问规则对应的权重参数，确定该每个ip地址对应的访问得分。
9.第二方面，本技术提供一种异常ip确定装置，包括：获取模块和确定模块；该获取模块，用于获取多个日志信息，其中，一个日志信息中包括一个ip地址；该确定模块，用于基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分，该多个ip地址为该多个日志信息中包括的ip地址；该确定模块，还用于基于该每个ip地址在该每个访问规则中的规则得分，确定该每个ip地址对应的访问得分；该确定模块，还用于将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。
10.可选地，上述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项，该关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，该时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，该业务类型访问规则中包括的访问条件用于确定一个日志信息对应的业务类型的数量，该请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，该域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，该响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，该数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。
11.可选地，上述至少一个访问规则中包括该数据大小访问规则；该确定模块，具体用于当第一日志信息对应的数据大小大于第一数据大小阈值，并且该第一日志信息信息对应的数据大小小于或等于第二数据大小阈值时，确定第一ip地址在该数据大小访问规则中的规则得分为第一数值，该第一日志信息为该多个日志信息中的一个，该第一ip地址为该第一日志信息中包括的ip地址，该第一数据大小阈值小于该第二数据大小阈值；该确定模块，还具体用于当该第一日志信息对应的数据大小大于该第二数值阈值时，确定该第一ip地址在该数据大小访问规则中的规则得分为第二数值，该第二数值大于该第一数值。
12.可选地，该异常ip确定装置还包括处理模块；该处理模块，用于为该每个访问规则分配权重参数；该确定模块，具体用于基于该每个ip地址在该每个访问规则中的规则得分以及该每个访问规则对应的权重参数，确定该每个ip地址对应的访问得分。
13.第三方面，本技术提供一种电子设备，包括：处理器和被配置为存储处理器可执行指令的存储器；其中，处理器被配置为执行所述指令，以实现上述第一方面中任一种可选地异常ip确定方法。
14.第四方面，本技术提供一种计算机可读存储介质，计算机可读存储介质上存储有指令，当该计算机可读存储介质中的指令由电子设备执行时，使得该电子设备能够执行上
述第一方面中任一种可选地异常ip确定方法。
15.本技术提供的异常ip确定方法、装置、电子设备及存储介质电子设备可以获取多个日志信息，并且基于多个ip地址(即该多个日志信息中包括的ip地址)以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分；之后电子设备可以基于该每个ip地址在该每个访问规则中的规则得分确定该每个ip地址对应的访问得分；最终将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址确定为异常ip地址。本技术中，当多个ip地址中的某一个ip地址对应的访问得分大于或等于得分阈值时，说明该ip地址在至少一个访问规则中的规则得分较大，即该ip地址可能已经命中了该至少一个访问规则中较多的访问规则(具体为访问规则中包括的访问条件)。此时电子设备将该ip地址确定为异常ip地址，能够方便、快捷地确定出异常ip地址，提升了异常ip确定的有效性。
附图说明
16.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
17.图1为本技术实施例提供的一种异常ip确定方法的流程示意图；
18.图2为本技术实施例提供的另一种异常ip确定方法的流程示意图；
19.图3为本技术实施例提供的另一种异常ip确定方法的流程示意图；
20.图4为本技术实施例提供的一种确定异常ip地址的具体流程示意图；
21.图5为本技术实施例提供的一种异常ip确定装置的结构示意图；
22.图6为本技术实施例提供的另一种异常ip确定装置的结构示意图。
具体实施方式
23.下面将结合附图对本技术实施例提供的异常ip确定方法、装置、电子设备及存储介质进行详细的描述。
24.本技术的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序，例如，第一数据大小阈值和第二数据大小阈值等是用于区别不同的数据大小阈值，而不是用于描述数据大小阈值的特定顺序。
25.此外，本技术的描述中所提到的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
26.需要说明的是，本技术实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本技术实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
27.本技术中所述“和/或”，包括用两种方法中的任意一种或者同时使用两种方法。
28.在本技术的描述中，除非另有说明，“多个”的含义是指两个或两个以上。
29.基于背景技术中所描述，由于相关技术中，硬件网络防火墙或waf防火墙价格昂
贵，灵活性较低，可能不能方便、快捷地确定出异常ip地址。基于此，本技术实施例提供一种异常ip确定方法、装置、电子设备及存储介质，当多个ip地址中的某一个ip地址对应的访问得分大于或等于得分阈值时，说明该ip地址在至少一个访问规则中的规则得分较大，即该ip地址可能已经命中了该至少一个访问规则中较多的访问规则(具体为访问规则中包括的访问条件)。此时电子设备将该ip地址确定为异常ip地址，能够方便、快捷地确定出异常ip地址，提升了异常ip确定的有效性。
30.示例性的，执行本技术实施例提供的异常ip确定方法的电子设备可以是手机、平板电脑、桌面型、膝上型、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，umpc)、上网本，以及蜂窝电话、个人数字助理(personal digital assistant，pda)、增强现实(augmented reality，ar)\虚拟现实(virtual reality，vr)设备，本技术实施例对电子设备的具体形态不作特殊限制。其可以与用户通过键盘、触摸板、触摸屏、遥控器、语音交互或手写设备等一种或多种方式进行人机交互。
31.可选地，上述电子设备可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器。
32.如图1所示，本技术实施例提供的异常ip确定方法可以包括s101-s104。
33.s101、电子设备获取多个日志信息。
34.其中，一个日志信息中包括一个互联网协议(internet protocol，ip)地址。
35.在一种可选的实现方式中，可以在反向代理服务器中设置日志转发功能，以实现电子设备从反向代理服务器中获取该多个日志信息。
36.具体的，可以编辑nginx配置文件/etc/nginx/nginx.conf，在http、server或者location设置日志格式。
37.log_format myformat'$remote_addr-[$time_local]"$host""$request"''$status$body_bytes_sent"$http_user_agent""$http_x_forwarded_for"；
[0038]
access_log syslog:server＝192.168.1.100:514,tag＝nginx,severity＝info myformat；
[0039]
其中，192.168.1.100是日志预处理服务器地址。
[0040]
s102、电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分。
[0041]
其中，该多个ip地址为上述多个日志信息中包括的ip地址。
[0042]
结合上述实施例的描述，应理解，一个日志信息中包括一个ip地址。对于多个日志信息中不同的日志信息而言，该不同的日志信息中包括的ip地址可以相同，也可以不同。
[0043]
在本技术实施例的一种实现方式中，上述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项。
[0044]
具体的，该关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，该时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，该业务类型访问规则中包括的访问条件用于确定一个日志信
息对应的业务类型的数量，该请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，该域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，该响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，该数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。
[0045]
结合图1，如图2所示，在本技术实施例的一种实现方式中，上述至少一个访问规则中包括数据大小访问规则，上述电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分，具体可以包括s1021-s1022。
[0046]
s1021、当第一日志信息对应的数据大小大于第一数据大小阈值，并且第一日志信息对应的数据大小小于或等于第二数据大小阈值时，电子设备确定第一ip地址在数据大小访问规则中的规则得分为第一数值。
[0047]
其中，该第一日志信息为上述多个日志信息中的一个，该第一ip地址为该第一日志信息中包括的ip地址，该第一数据大小阈值小于该第二数据大小阈值。
[0048]
s1022、当第一日志信息对应的数据大小大于第二数据大小阈值时，电子设备确定第一ip地址在数据大小访问规则中的规则得分为第二数值。
[0049]
其中，该第二数值大于上述第一数值。
[0050]
应理解，当第一日志信息对应的数据大小大于第一数据大小阈值，并且第一日志信息对应的数据大小小于或等于第二数据大小阈值时，说明该第一日志信息对应的数据大小较小，也可以理解为第一ip地址存在异常的可能性较小，此时电子设备可以为该第一ip地址分配较低的访问得分(即第一数值)。当该第一日志信息对应的数据大小大于第二数据大小阈值时，说明该第一日志信息对应的数据大小较大，也可以理解为第一ip地址存在异常的可能性较大，此时电子设备可以为该第一ip地址分配较高的访问得分(即第二数值)。能够准确、有效地确定出每一个ip地址在数据大小访问规则中的规则得分。
[0051]
示例性的，上述第一数据大小阈值可以为10m(兆字节)，第二数据大小阈值可以为50m，该第一数值可以为1分，该第二数值可以为2分。
[0052]
在本技术实施例的另一种实现方式中，上述至少一个访问规则中还包括关键字访问规则，上述电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分，具体可以包括步骤a。
[0053]
步骤a、当第一日志信息中包括预设关键字时，电子设备确定第一ip地址在关键字访问规则中的规则得分为第三数值。
[0054]
应理解，当第一日志信息中包括预设关键字时，说明该第一ip地址为异常ip地址的可能性较大，此时电子设备可以为该第一ip地址分配第三数值。
[0055]
示例性的，该第三数值可以为1。
[0056]
需要说明的是，该第三数值可以与上述第一数值(或第二数值)相同，也可以与上述第一数值(或第二数值)不同。本技术实施例对第三数值的大小不做具体限定。
[0057]
示例性的，上述预设关键字可以包括passwd等。
[0058]
可选地，当第一日志信息中包括预设关键字时，电子设备可以确定该第一ip地址在关键字访问规则中的规则得分为0。
[0059]
在本技术实施例的另一种实现方式中，上述至少一个访问规则中还包括时间访问规则，上述电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分，具体可以包括步骤b。
[0060]
步骤b、当第一日志信息中包括的访问时间位于异常时间区间以内时，电子设备确定第一ip地址在时间访问规则中的规则得分为第四数值。
[0061]
应理解，当第一日志信息中包括的访问时间位于异常时间区间以内时，说明该第一ip地址为异常ip地址的可能性较大，此时电子设备可以为该第一ip地址分配第四数值。
[0062]
示例性的，该异常时间区间可以为23:00-06:00。
[0063]
可选地，当第一日志信息中包括的访问时间位于异常时间区间以外时，说明该第一ip地址为异常ip地址的可能性较小，电子设备可以确定该第一ip地址在时间访问规则中的规则得分为0，或者可以理解为此时电子设备无需为第一ip地址分配访问得分。
[0064]
在本技术实施例的另一种实现方式中，上述至少一个访问规则中还包括业务类型访问规则，上述电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分，具体可以包括步骤c。
[0065]
步骤c、电子设备将第一日志信息对应的业务类型的数量，确定为第一ip地址在业务类型访问规则中的规则得分。
[0066]
应理解，一个日志信息(例如第一日志信息)对应的业务类型的数量也可以理解为该第一日志信息对应的分区的数量。
[0067]
在本技术实施例的另一种实现方式中，上述至少一个访问规则中还包括请求方法访问规则，上述电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分，具体可以包括步骤d。
[0068]
步骤d、当第一日志信息对应的请求方法错误时，电子设备确定第一ip地址在请求方法访问规则中的规则得分为第五数值。
[0069]
应理解，当第一日志信息对应的请求方法错误时，说明该第一ip地址为异常ip地址的可能性较大，此时电子设备可以确定该第一ip地址在请求方法访问规则中的规则得分为第五数值。
[0070]
示例性的，本技术实施例中的请求方法可以包括get、post、delete、put、head、options以及prrofind等。
[0071]
在本技术实施例的另一种实现方式中，上述至少一个访问规则中还包括域名访问规则，上述电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分，具体可以包括步骤e。
[0072]
步骤e、当第一日志信息中包括的域名为异常域名时，电子设备确定第一ip地址在域名访问规则中的规则得分为第六数值。
[0073]
应理解，当第一日志信息中包括的域名为异常域名时，说明该第一ip地址为异常ip地址的可能性较大，此时电子设备可以确定该第一ip地址在域名访问规则中的规则得分为第六数值。
[0074]
具体的，电子设备可以通过确定电子设备中是否存储有某一个日志信息(例如第
一日志信息)中包括的域名。当电子设备中未存储有该第一日志信息中包括的域名的情况下，电子设备可以确定该第一日志信息中包括的域名为异常域名。
[0075]
在本技术实施例的另一种实现方式中，上述至少一个访问规则中还包括响应码访问规则，上述电子设备基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定多个ip地址中每个ip地址在每个访问规则中的规则得分，具体可以包括步骤f。
[0076]
步骤f、当第一日志信息对应的响应码为异常响应码时，电子设备确定第一ip地址在响应码访问规则中的规则得分为第七数值。
[0077]
应理解，当第一日志信息对应的响应码为异常响应码时，说明该第一ip地址为异常ip地址的可能性较大，此时电子设备可以确定该第一ip地址在响应码访问规则中的规则得分为第七数值。
[0078]
示例性的，当某一个日志信息(例如第一日志信息)对应的响应码大于399时，电子设备可以确定该第一日志信息对应的响应码为异常响应码。
[0079]
s103、电子设备基于每个ip地址在每个访问规则中的规则得分，确定每个ip地址对应的访问得分。
[0080]
结合图1，如图3所示，在本技术实施例的一种实现方式中，上述电子设备基于每个ip地址在每个访问规则中的规则得分，确定每个ip地址对应的访问得分，具体可以包括s1031-s1032。
[0081]
s1031、电子设备为每个访问规则分配权重参数。
[0082]
可选地，电子设备为每个访问规则分配的权重参数可以相同，也可以不同。
[0083]
示例性的，上述7个访问规则(即关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则)各自的权重参数分别可以为200、100、300、500、100、100以及200。
[0084]
s1032、电子设备基于每个ip地址在每个访问规则中的规则得分以及每个访问规则对应的权重参数，确定每个ip地址对应的访问得分。
[0085]
具体的，对于一个ip地址而言，电子设备可以确定该ip地址在每个访问规则中的规则得分与该每个访问规则对应的权重参数之间的乘积，之后将至少一个访问规则中每个访问规则对应的乘积之和确定为该每个ip地址对应的访问得分。
[0086]
在一种可选的实现方式中，在电子设备确定每个ip地址在每个访问规则中的规则得分之前，电子设备可以先将多个日志信息中的每个日志信息转换为文本格式(例如json格式)，以方便后续统计、处理以及存储的过程。
[0087]
示例性的，以下为本技术实施例提供的一种日志信息：
[0088]
121.96.244.15-[01/may/2023:15:36:54+0800]"app1.example.com""get/login.apsx/../../etc/passwd http/1.1"200 21534"mozilla/5.0(windows nt 10.0；win64；x64)applewebkit/537.36(khtml,like gecko)chrome/81.0.4044.138safari/537.36""-"
[0089]
其中，“121.96.244.15”为该日志信息中包括ip地址；“[01/may/2023:15:36:54+0800]”为该日志信息中包括的访问时间和访问时区；“app1.example.com”为该日志信息中包括的域名；“get/login.apsx/../../etc/passwd http/1.1”时该日志信息对应的请求方法，具体的，“/login.apsx/../../etc/passwd”为请求的资源路径，“http/1.1”为http协议
的版本；“200”为该日志信息对应的响应码；“21534”为该日志信息对应的数据大小，大约为21m；“mozilla/5.0(windows nt 10.0；win64；x64)applewebkit/537.36(khtml,like gecko)chrome/81.0.4044.138safari/537.36”指的是客户端使用的浏览器和操作系统。
[0090]
以下为电子设备将上述日志信息转化为json格式的一种示例：
[0091]
{
[0092]
"client_ip_address":"121.96.244.15",
[0093]
"datetime":"01/may/2023:15:36:54+0800",
[0094]
"server_name":"app1.example.com",
[0095]
"app_name":"app1",
[0096]
"request":{
[0097]
"method":"get",
[0098]
"url":"/login.apsx/../../etc/passwd",
[0099]
"http_version":"http/1.1"
[0100]
},
[0101]
"status_code":"200",
[0102]
"body_bytes_sent":"21534",
[0103]
"user_agent":"mozilla/5.0(windows nt 10.0；win64；x64)applewebkit/537.36(khtml,like gecko)chrome/81.0.4044.138safari/537.36",
[0104]
"http_x_forwarded_for":"-"
[0105]
s104、电子设备将多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。
[0106]
应理解，当该多个ip地址中的某一个ip地址对应的访问得分大于或等于得分阈值时，说明该ip地址在至少一个访问规则中的规则得分较大，即该ip地址可能已经命中了该至少一个访问规则中较多的访问规则(具体为访问规则中包括的访问条件)。此时电子设备将该ip地址确定为异常ip地址，能够方便、快捷地确定出异常ip地址，提升了异常ip确定的有效性。
[0107]
可选地，电子设备在确定出异常ip地址之后，可以将该异常ip地址添加至ip地址黑名单(或黑名单ip池)中，并且发出告警信息。
[0108]
上述实施例提供的技术方案至少能够带来以下有益效果：由s101-s104可知：电子设备可以获取多个日志信息，并且基于多个ip地址(即该多个日志信息中包括的ip地址)以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分；之后电子设备可以基于该每个ip地址在该每个访问规则中的规则得分确定该每个ip地址对应的访问得分；最终将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址确定为异常ip地址。本技术实施例中，当多个ip地址中的某一个ip地址对应的访问得分大于或等于得分阈值时，说明该ip地址在至少一个访问规则中的规则得分较大，即该ip地址可能已经命中了该至少一个访问规则中较多的访问规则(具体为访问规则中包括的访问条件)。此时电子设备将该ip地址确定为异常ip地址，能够方便、快捷地确定出异常ip地址，提升了异常ip确定的有效性。
[0109]
以下以一个示例说明本技术实施例提供的异常ip确定方法。
[0110]
如图4所示，用户可以向反向代理服务器发送访问请求，该反向代理服务器可以将该访问请求发送至后端服务器。
[0111]
反向代理服务器可以向电子设备中的日志预处理模块转发日志信息，进而由电子设备中的分析处理模块对日志信息进行分析处理，具体为确定日志信息中包括ip地址是否为异常ip地址。
[0112]
在日志信息中包括的ip地址为异常ip地址的情况下，分析处理模块可以向反向代理服务器反馈封禁指令，即禁止该日志信息中包括的ip地址访问相应的服务器。并且，该分析处理模块还可以向告警处理中心发送告警指令，即只是该告警处理中心发出告警信息。
[0113]
告警处理中心在接收到告警指令之后，可以以短信、邮件、微信等方式通知运维人员。
[0114]
本技术实施例可以根据上述方法示例对电子设备等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
[0115]
在采用对应各个功能划分各个功能模块的情况下，图5示出了上述实施例中所涉及的异常ip确定装置的一种可能的结构示意图，如图5所示，异常ip确定装置10可以包括：获取模块101和确定模块102。
[0116]
获取模块101，用于获取多个日志信息，其中，一个日志信息中包括一个ip地址。
[0117]
确定模块102，用于基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个ip地址中每个ip地址在该每个访问规则中的规则得分，该多个ip地址为该多个日志信息中包括的ip地址。
[0118]
确定模块102，还用于基于该每个ip地址在该每个访问规则中的规则得分，确定该每个ip地址对应的访问得分。
[0119]
确定模块102，还用于将该多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。
[0120]
可选地，上述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项，该关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，该时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，该业务类型访问规则中包括的访问条件用于确定一个日志信息对应的业务类型的数量，该请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，该域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，该响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，该数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。
[0121]
可选地，上述至少一个访问规则中包括该数据大小访问规则。
[0122]
确定模块102，具体用于当第一日志信息对应的数据大小大于第一数据大小阈值，并且该第一日志信息信息对应的数据大小小于或等于第二数据大小阈值时，确定第一ip地
址在该数据大小访问规则中的规则得分为第一数值，该第一日志信息为该多个日志信息中的一个，该第一ip地址为该第一日志信息中包括的ip地址，该第一数据大小阈值小于该第二数据大小阈值。
[0123]
确定模块102，还具体用于当该第一日志信息对应的数据大小大于该第二数值阈值时，确定该第一ip地址在该数据大小访问规则中的规则得分为第二数值，该第二数值大于该第一数值。
[0124]
可选地，该异常ip确定装置10还包括处理模块103。
[0125]
处理模块103，用于为该每个访问规则分配权重参数。
[0126]
确定模块102，具体用于基于该每个ip地址在该每个访问规则中的规则得分以及该每个访问规则对应的权重参数，确定该每个ip地址对应的访问得分。
[0127]
在采用集成的单元的情况下，图6示出了上述实施例中所涉及的异常ip确定装置的一种可能的结构示意图。如图6所示，异常ip确定装置20可以包括：处理模块201和通信模块202。处理模块201可以用于对异常ip确定装置20的动作进行控制管理。通信模块202可以用于支持异常ip确定装置20与其他实体的通信。可选地，如图6所示，该异常ip确定装置20还可以包括存储模块203，用于存储异常ip确定装置20的程序代码和数据。
[0128]
其中，处理模块201可以是处理器或控制器。通信模块202可以是收发器、收发电路或通信接口等。存储模块203可以是存储器。
[0129]
其中，当处理模块201为处理器，通信模块202为收发器，存储模块203为存储器时，处理器、收发器和存储器可以通过总线连接。总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。
[0130]
应理解，在本技术的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
[0131]
本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0132]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0133]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0134]
在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计
算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户终端线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
[0135]
以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。

技术特征：
1.一种异常ip确定方法，其特征在于，所述方法包括：获取多个日志信息，其中，一个日志信息中包括一个ip地址；基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定所述多个ip地址中每个ip地址在所述每个访问规则中的规则得分，所述多个ip地址为所述多个日志信息中包括的ip地址；基于所述每个ip地址在所述每个访问规则中的规则得分，确定所述每个ip地址对应的访问得分；将所述多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。2.根据权利要求1所述的异常ip确定方法，其特征在于，所述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项，所述关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，所述时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，所述业务类型访问规则中包括的访问条件用于确定一个日志信息对应的业务类型的数量，所述请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，所述域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，所述响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，所述数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。3.根据权利要求2所述的异常ip确定方法，其特征在于，所述至少一个访问规则中包括所述数据大小访问规则，所述基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定所述多个ip地址中每个ip地址在所述每个访问规则中的规则得分，包括：当第一日志信息对应的数据大小大于第一数据大小阈值，并且所述第一日志信息对应的数据大小小于或等于第二数据大小阈值时，确定第一ip地址在所述数据大小访问规则中的规则得分为第一数值，所述第一日志信息为所述多个日志信息中的一个，所述第一ip地址为所述第一日志信息中包括的ip地址，所述第一数据大小阈值小于所述第二数据大小阈值；当所述第一日志信息对应的数据大小大于所述第二数值阈值时，确定所述第一ip地址在所述数据大小访问规则中的规则得分为第二数值，所述第二数值大于所述第一数值。4.根据权利要求1-3中任一项所述的异常ip确定方法，其特征在于，所述基于所述每个ip地址在所述每个访问规则中的规则得分，确定所述每个ip地址对应的访问得分，包括：为所述每个访问规则分配权重参数；基于所述每个ip地址在所述每个访问规则中的规则得分以及所述每个访问规则对应的权重参数，确定所述每个ip地址对应的访问得分。5.一种异常ip确定装置，其特征在于，包括：获取模块和确定模块；所述获取模块，用于获取多个日志信息，其中，一个日志信息中包括一个ip地址；所述确定模块，用于基于多个ip地址以及至少一个访问规则中每个访问规则包括的访问条件，确定所述多个ip地址中每个ip地址在所述每个访问规则中的规则得分，所述多个ip地址为所述多个日志信息中包括的ip地址；
所述确定模块，还用于基于所述每个ip地址在所述每个访问规则中的规则得分，确定所述每个ip地址对应的访问得分；所述确定模块，还用于将所述多个ip地址中对应的访问得分大于或等于得分阈值的ip地址，确定为异常ip地址。6.根据权利要求5所述的异常ip确定装置，其特征在于，所述至少一个访问规则包括关键字访问规则、时间访问规则、业务类型访问规则、请求方法访问规则、域名访问规则、响应码访问规则以及数据大小访问规则中的一项或多项，所述关键字访问规则中包括的访问条件用于确定一个日志信息中是否包括预设关键字，所述时间访问规则中包括的访问条件用于确定一个日志信息中包括的访问时间是否位于异常时间区间以内，所述业务类型访问规则中包括的访问条件用于确定一个日志信息对应的业务类型的数量，所述请求方法访问规则中包括的访问条件用于确定一个日志信息对应的请求方法是否错误，所述域名访问规则中包括的访问条件用于确定一个日志信息中包括的域名是否为异常域名，所述响应码访问规则中包括的访问条件用于确定一个日志信息对应的响应码是否为异常响应码，所述数据大小访问规则中包括的访问条件用于确定一个日志信息对应的数据大小。7.根据权利要求6所述的异常ip确定装置，其特征在于，所述至少一个访问规则中包括所述数据大小访问规则；所述确定模块，具体用于当第一日志信息对应的数据大小大于第一数据大小阈值，并且所述第一日志信息信息对应的数据大小小于或等于第二数据大小阈值时，确定第一ip地址在所述数据大小访问规则中的规则得分为第一数值，所述第一日志信息为所述多个日志信息中的一个，所述第一ip地址为所述第一日志信息中包括的ip地址，所述第一数据大小阈值小于所述第二数据大小阈值；所述确定模块，还具体用于当所述第一日志信息对应的数据大小大于所述第二数值阈值时，确定所述第一ip地址在所述数据大小访问规则中的规则得分为第二数值，所述第二数值大于所述第一数值。8.根据权利要求5-7中任一项所述的异常ip确定装置，其特征在于，所述异常ip确定装置还包括处理模块；所述处理模块，用于为所述每个访问规则分配权重参数；所述确定模块，具体用于基于所述每个ip地址在所述每个访问规则中的规则得分以及所述每个访问规则对应的权重参数，确定所述每个ip地址对应的访问得分。9.一种电子设备，其特征在于，所述电子设备包括：处理器；被配置为存储所述处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令，以实现如权利要求1-4中任一项所述的异常ip确定方法。10.一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，其特征在于，当所述计算机可读存储介质中的指令由电子设备执行时，使得所述电子设备能够执行如权利要求1-4中任一项所述的异常ip确定方法。

技术总结
本申请提供一种异常IP确定方法、装置、电子设备及存储介质，涉及计算机技术领域，解决了相关技术中硬件网络防火墙或WAF防火墙价格昂贵，灵活性较低，可能不能方便、快捷地确定出异常IP地址。该方法包括：获取多个日志信息，其中，一个日志信息中包括一个IP地址；基于多个IP地址以及至少一个访问规则中每个访问规则包括的访问条件，确定该多个IP地址中每个IP地址在该每个访问规则中的规则得分，该多个IP地址为该多个日志信息中包括的IP地址；基于该每个IP地址在该每个访问规则中的规则得分，确定该每个IP地址对应的访问得分；将该多个IP地址中对应的访问得分大于或等于得分阈值的IP地址，确定为异常IP地址。确定为异常IP地址。确定为异常IP地址。


技术研发人员：吴雨露 李斯哲 晁静洋 罗耘 陈莹森 丘柏辉 陈东 曾维基
受保护的技术使用者：中国联合网络通信集团有限公司
技术研发日：2023.08.08
技术公布日：2023/10/8